« La clé divine » de la DeFi : à partir du vol de 285 millions de dollars sur Drift, examen de la plus grande faille de la finance décentralisée
TechFlow SélectionTechFlow Sélection
« La clé divine » de la DeFi : à partir du vol de 285 millions de dollars sur Drift, examen de la plus grande faille de la finance décentralisée
Ce coup porté par Drift touche la plaie la plus douloureuse — et la moins souhaitée — de tout un secteur.
Dédié à des analyses Web3 approfondiesAuteur : TechFlow
1er avril, poisson d’avril.
Drift Protocol, le plus grand échange de contrats perpétuels sur Solana, est en train d’être vidé. La première réaction de la communauté ? « Belle blague pour le poisson d’avril. »
Ce n’est pas une blague. Vers 13 h 30, les comptes de surveillance blockchain Lookonchain et PeckShield ont presque simultanément déclenché l’alerte : un portefeuille inconnu commençant par « HkGz4K » est en train de retirer des actifs du trésor de Drift à une vitesse vertigineuse. Premier retrait : 41 millions de jetons JLP, pour une valeur de 155 millions de dollars américains. Suivent immédiatement 51,6 millions d’USDC, 125 000 WSOL, 164 000 cbBTC… Une dizaine d’actifs s’écoulent comme l’eau d’une baignoire dont on aurait retiré la bonde.
En une heure, les actifs du trésor passent de 309 millions à 41 millions de dollars. Plus de la moitié de la valeur totale verrouillée (TVL) a disparu.
L’équipe de Drift publie un message sur X, rédigé dans un ton inhabituellement pressé : « Drift Protocol subit actuellement une attaque ciblée. Les dépôts et retraits sont suspendus. Nous collaborons avec plusieurs sociétés de sécurité, ponts interchaînes et bourses afin de maîtriser la situation. »
Puis vient cette phrase qui entrera inévitablement dans l’histoire de la cryptographie : « This is not an April Fools joke. »
Une seule clé, ouvrant toutes les portes
Le montant exact volé chez Drift varie selon les sources. PeckShield estime la perte à environ 285 millions de dollars, Arkham à plus de 250 millions, tandis que l’évaluation préliminaire de CertiK s’élève à environ 136 millions. Quel que soit le chiffre retenu, il s’agit de l’incident de sécurité DeFi le plus grave survenu en 2026 à ce jour.
Plus encore que le montant, c’est la méthode d’attaque qui mérite attention.
Jiang Xuxian, fondateur de PeckShield, l’exprime sans détour auprès de Decrypt : la clé d’administrateur derrière Drift a été « clairement divulguée ou compromise ». Des chercheurs blockchain ont reconstitué la séquence d’attaques, révélant que l’attaquant a obtenu un accès privilégié au protocole Drift, lui permettant ainsi de contrôler les flux financiers du trésor.
Autrement dit, aucune exploitation sophistiquée de vulnérabilité dans un contrat intelligent, aucun prêt flash, aucune manipulation d’oracle. Ce n’est qu’un échec de sécurité élémentaire, le plus ancien et le plus classique qui soit : quelqu’un a perdu sa clé privée.
Un détail encore plus inquiétant : l’attaquant n’a pas agi sur un coup de tête. Les données blockchain montrent que ce portefeuille avait reçu des fonds initiaux via Near Intents huit jours avant l’attaque, puis était resté silencieux. Une semaine avant l’attaque, il a même reçu un transfert infinitésimal — d’une valeur de 2,52 dollars — provenant directement du trésor de Drift. Une simple tentative, un « coup frappé à la porte ».
Une semaine plus tard, la porte a été enfoncée.
La chute de la « Robinhood » cryptographique
Pour Cindy Leow, cofondatrice de Drift, le cauchemar du 1er avril revêt une cruauté particulière.
L’histoire de cette entrepreneuse d’origine malaisienne chinoise constituait autrefois l’un des meilleurs récits inspirants du DeFi sur Solana. Partie en 2016 d’un arbitrage entre les marchés coréen et chinois du bitcoin, elle a ensuite géré un fonds spéculatif propre, contribué à des projets dérivés sur Ethereum, puis co-fondé Drift avec David Lu en 2021, pariant sur la rapidité de Solana pour développer des contrats perpétuels sur chaîne.
Selon la chronologie, Drift a presque toujours su saisir chaque vague. En 2024, la société a levé deux tours de financement menés respectivement par Polychain et Multicoin, totalisant 52,5 millions de dollars. Elle a lancé un marché prédictif rivalisant avec Polymarket, introduit un effet de levier de 50x, fait passer sa TVL au-delà de 550 millions de dollars et dépassé un volume de transactions cumulé de 50 milliards de dollars. Dans une interview accordée à Fortune, Leow a formulé une ambition audacieuse : devenir la « Robinhood cryptographique ».
Cette métaphore se lit aujourd’hui avec amertume. La promesse centrale de Robinhood est de donner aux particuliers un accès aux outils financiers de Wall Street. Celle de Drift est de permettre aux utilisateurs une expérience de trading « non-custodiale » sur chaîne : leur argent ne passe par aucune main intermédiaire, mais interagit uniquement avec du code.
Mais derrière ce code, il y a une clé d’administrateur. Et la sécurité de cette clé repose, au final, sur des êtres humains — pas sur la cryptographie.
Il existe aussi une coïncidence historique particulièrement douloureuse. En 2022, lors de l’ère Drift v1, le trésor avait déjà été vidé entièrement. L’équipe avait alors publié un rapport technique extrêmement détaillé, accompagné même d’un code de preuve de concept montrant comment un attaquant pouvait vider intégralement le trésor en une seule transaction. Cette fois-là, la perte s’était élevée à 14,5 millions de dollars, que l’équipe avait remboursés intégralement à ses utilisateurs sur ses propres fonds.
Quatre ans plus tard, le même cauchemar se répète à une échelle vingt fois supérieure.
La foi en la décentralisation, le point faible centralisé
Élargissons le champ de vision au-delà de Drift, et un schéma malaisant commence à se dessiner.
Début 2025, le service de gestion des clés AWS de Resolv Labs a été compromis ; l’attaquant a utilisé une clé privilégiée pour autoriser la frappe massive de la stablecoin USR, déclenchant des pertes en chaîne sur plusieurs plateformes. Sur l’ensemble de l’année 2025, le montant total des vols cryptographiques a atteint un record historique de 3,4 milliards de dollars. Le rapport de Chainalysis souligne expressément une évolution majeure : les incidents les plus destructeurs surviennent désormais au niveau des infrastructures — machines de développeurs piratées, clés de frappe uniques stockées dans le cloud, processus de signature victimes de phishing social. Ce sont ces failles qui constituent véritablement les trous noirs aspirant les fonds.
Ajoutez-y désormais Drift.
Si l’on place côte à côte tous ces cas, une conclusion s’impose presque inéluctable : la sécurité des clés privées a remplacé les vulnérabilités des contrats intelligents comme risque systémique le plus élevé du DeFi.
Entre la perception et la réalité, un fossé cognitif s’est creusé — assez large pour engloutir des milliards de dollars.
Les protocoles DeFi racontent à leurs utilisateurs une histoire de « décentralisation », de « non-custodialité », de « confiance inutile ». Vos actifs sont gardés par du code, aucun intermédiaire ne peut toucher à votre argent. Les utilisateurs croient cette histoire, déposent leurs fonds dans ces protocoles, persuadés qu’ils « traitent avec des mathématiques ».
La réalité est tout autre : presque chaque protocole DeFi opérationnel possède une ou plusieurs « clés divines » — clé d’administrateur, droit de mise à jour, contrôle du trésor, interrupteur d’arrêt d’urgence. Ces clés existent parfois pour des raisons de sécurité (freiner d’urgence en cas de problème), parfois pour assurer la flexibilité (mettre à jour la logique du contrat), mais leur nature fondamentale reste identique : un point de confiance centralisé, habillé d’un récit décentralisé.
Les utilisateurs croient interagir avec du code. En réalité, ils font confiance à une personne — ou à un petit groupe — pour ne pas commettre d’erreur, ne pas tomber dans un piège de phishing, ne pas céder à la coercition, ni laisser leur ordinateur portable dans un café en pleine nuit.
Il ne s’agit pas d’un problème propre à Drift, mais bien d’une contradiction structurelle affectant l’ensemble du secteur DeFi.
Où sont passés les 285 millions de dollars ?
Les actions de l’attaquant sur la chaîne sont précises et efficaces, empreintes d’un calme professionnel.
Après avoir retiré les actifs du trésor de Drift, il a rapidement converti la majorité des jetons en stablecoins, puis transféré les fonds vers le réseau Ethereum via le pont interchaînes Wormhole. Sur Ethereum, il a utilisé une partie des stablecoins pour acheter environ 19 913 ETH (d’une valeur d’environ 42,6 millions de dollars), tandis que le reste a été réparti entre plusieurs adresses de portefeuilles.
Un détail absurde : le portefeuille de l’attaquant contient encore une quantité importante de Fartcoin, représentant environ 2,5 % de l’offre totale de ce jeton. Un pirate informatique qui vient de commettre le plus gros vol DeFi de l’année tient entre ses mains une collection de jetons-mèmes baptisés « pet ».
À l’heure de la rédaction de cet article, les dépôts et retraits sur Drift restent suspendus. Le jeton DRIFT a chuté de 0,072 dollar à environ 0,05 dollar, soit une baisse de plus de 28 %. Depuis son sommet historique de 2,60 dollars, la baisse cumulée dépasse les 98 %. Le portefeuille Phantom affiche désormais un avertissement aux utilisateurs tentant d’accéder à Drift.
L’équipe de Drift indique collaborer avec des sociétés de sécurité, des opérateurs de ponts interchaînes et des bourses centralisées afin de geler et suivre les fonds volés. Or, si l’histoire nous donne une quelconque indication, la probabilité de récupérer des fonds transférés via un pont interchaînes puis dispersés dans plusieurs portefeuilles reste très faible.
Une question que le secteur doit affronter honnêtement
Le coup porté par Drift touche une plaie que le secteur préfère ignorer.
Dans son rapport de fin 2025, Chainalysis affirmait avec optimisme que la sécurité DeFi avait connu des « progrès substantiels » : même si la TVL avait doublé pour atteindre 11,9 milliards de dollars, les pertes dues aux pirates avaient diminué. Le cas du protocole Venus avait été présenté comme exemple positif : son système de surveillance avait détecté une anomalie 18 heures avant l’attaque, le protocole avait été immédiatement mis en pause, et le mécanisme de gouvernance avait gelé les fonds de l’attaquant — qui avait même essuyé une perte.
Drift vient ternir ce « récit du progrès ». Vous pouvez pousser les audits de contrats intelligents à leur paroxysme, déployer les systèmes de surveillance blockchain les plus avancés, mais dès lors qu’une clé d’administrateur est compromise par un phishing social, un attaquant ou une attaque par force brute, toute votre infrastructure de sécurité devient un château bâti sur du sable.
Le secteur DeFi doit faire une halte et répondre honnêtement à une question : Que signifie concrètement « non-custodial » lorsque vous l’annoncez à vos utilisateurs ?
Si la clé d’administrateur d’un protocole permet de transférer à tout moment l’intégralité des actifs du trésor, quelle est donc la différence avec le fait de déposer son argent sur le compte bancaire d’une personne que l’on ne connaît pas ? Au moins, les banques disposent d’une assurance, d’une régulation et de voies juridiques de recours.
Peut-être la réponse ne consiste-t-elle pas à supprimer purement et simplement ces droits d’administrateur — dans bien des cas, ils sont indispensables. Mais le secteur devrait au moins cesser de prétendre qu’ils n’existent pas. La gouvernance multi-signatures, les verrous temporels, les modules matériels de sécurité (HSM), la rotation des clés… Ces solutions techniques existent depuis des années, et pourtant trop de protocoles continuent de reposer la sécurité de centaines de millions de dollars sur la vigilance d’un ou deux opérateurs humains.
Le rêve de la « Robinhood cryptographique » est séduisant. Mais avant de le réaliser, il convient peut-être de répondre à une question plus fondamentale : Qui détient la clé ?
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
深潮TechFlow
